KOROMOON

착한 사마리아인이 되고 싶습니다.

7/02/2019

FlawedAmmyy RAT 감염 시 C&C 패킷 덤프과 탐지룰

02:36 코로문 , FlawedAmmyy 0 Comments



( 1 ) FlawedAmmyy RAT
< 악성코드 샘플에 포함된 AmmyAdmin 버전 3에 대한 문자열 >

< Ammyy Admin 버전 3 소스코드의 일부인 TrMain.cpp >

원격제어 프로그램 Ammyy Admin 버전 3 의 유출된 소스코드를 기초로 하여 만들어진 RAT 로 2016년 이후 러시아 해킹 단체 TA505 가 대규모 무차별 캠페인에서 사용됨.

 원격제어 프로그램 Ammyy Admin 와 똑같은 기능을 제공함.
- 원격 데스트톱 프로그램
- 파일 시스템 관리자
- 프록시 지원
- 오디오 채팅 지원

( 2 ) FlawedAmmyy RAT 감염 시 C&C 패킷 덤프
< FlawedAmmyy RAT 감염 시 C&C 패킷 덤프 >

해당 스샷은 www.malware-traffic-analysis.net 사이트에서 2019년 03월 06일에 기재된 블로그 샘플을 참조함.
(링크 - https://www.malware-traffic-analysis.net/2019/03/06/index.html)

 감염 시 초기 3 Way-Handshake 후 클라이언트가 서버로 보내는 36 바이트에서 첫 바이트는 항상 문자 "=" 이며 나머지 35 바이트는 난독화 및 SEAL 방식으로 암호화된 바이트임.
그 다음 서버는 클라이언트로 응답 패킷 4 바이트(0x2d00)를 전송함.
그리고 클라이언트에서 서버로 주요 시스템 정보에 대한 8개의 파라미터 키와 값에 대한 데이터를 보냄.
파라미터
설명
id
8 자리 숫자로 첫 번째 숫자는 항상 5이며 나머지는 7개 숫자는 악성코드가 초기에 임의로 설정함
52469061
os
운영 체제
7 SP 1 x64
priv
특권
User+UAC
cred
사용자 이름
RANDOMDOMAIN\rando.username
pcname
컴퓨터 이름
RANDOM-WIN-PC
avname
WMI 쿼리를 통해 얻은 안티바이러스 제품 이름
Windows Defender
build_time
악성코드 생성 시작
05-03-2019 14:04:39 PM
card
사용 가능한 스마트카드가 리더스에 삽입되어 있으면 1, 그렇지 않으면 0
1
< 클라이언트에서 서버로 보내는 파라미터 키와 값에 대한 데이터 정보 >
( 3 ) Snort 탐지룰

 클라이언트에서 서버로 주요 시스템 정보에 대한 8개의 파라미터 키값에 대한 정보를 탐지함.

 alert tcp any any -> any any (msg:"KOROMOON_FlawedAmmyy RAT_CnC_Checkin"; flow:to_server,established; content:"|69 64 3d|"; offset:5; depth:8; content:"|26 6f 73 3d|"; distance:8; within:4; content:"|26 70 72 69 76 3d|"; distance:0; within:30; content:"|26 63 72 65 64 3d|"; distance:0; within:30; content:"|26 70 63 6e 61 6d 65 3d|"; distance:0; within:50; content:"|26 61 76 6e 61 6d 65 3d|"; distance:0; within:50; content:"|26 62 75 69 6c 64 5f 74 69 6d 65 3d|"; distance:0; within:50; content:"|26 63 61 72 64 3d|"; distance:0; within:30;)

참고 사이트 : 
https://www.proofpoint.com/us/threat-insight/post/leaked-ammyy-admin-source-code-turned-malware
https://www.sans.org/reading-room/whitepapers/reverseengineeringmalware/unpacking-decrypting-flawedammyy-38930
https://www.securityweek.com/new-attack-delivers-flawedammyy-rat-directly-memory
https://www.cyber.nj.gov/threat-profiles/trojan-variants/flawedammyy
https://twitter.com/MsftSecIntel/status/1141858904365649922
https://secrary.com/ReversingMalware/AMMY_RAT_Downloader/
https://www.tutorialjinni.com/flawedammyy-rat-sample-download.html
https://www.malware-traffic-analysis.net/2019/03/06/index.html
https://malware-traffic-analysis.net/2018/05/25/index.html
https://www.youtube.com/watch?v=N4f2e8Mygag

============================================================
본 게시물은 KOROMOON 님께서 작성하였으며 CCL (Creative Commons License) 에서 "저작자표시-비영리-동일조건변경허락" 이용조건으로 자료를 이용하셔야 합니다.

By v�o l�c
Tags , , , , ,

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)